Configuration d'Amazon DevOps Guru

Effectuez les tâches décrites dans cette section pour configurer Amazon DevOps Guru pour la première fois. Si vous avez déjà un AWS compte, que vous savez quel AWS compte ou quels comptes vous souhaitez analyser et que vous avez une rubrique Amazon Simple Notification Service à utiliser pour les notifications analytiques, vous pouvez passer àDébuter avec DevOps Guru.

Vous pouvez éventuellement utiliser Quick Setup, une fonctionnalité deAWS Systems Manager, pour configurer DevOps Guru et configurer rapidement ses options. Vous pouvez utiliser la configuration rapide pour configurer DevOps Guru pour un compte autonome ou pour une organisation. Pour utiliser Quick Setup dans Systems Manager afin de configurer DevOps Guru pour une organisation, vous devez remplir les conditions préalables suivantes :

• Une organisation avecAWS Organizations. Pour plus d'informations, consultez AWS Organizationsla terminologie et les concepts du Guide de AWS Organizations l'utilisateur.

• Deux unités organisationnelles (UO) ou plus.

• Un ou plusieurs AWS comptes cibles dans chaque unité d'organisation.

• Un compte administrateur doté des privilèges nécessaires pour gérer les comptes cibles.

Pour savoir comment configurer DevOps Guru à l'aide de la configuration rapide, voir Configurer DevOps Guru avec la configuration rapide dans le guide de AWS Systems Manager l'utilisateur.

Suivez les étapes ci-dessous pour configurer DevOps Guru sans Quick Setup.

• Étape 1 — Inscrivez-vous à AWS

• Étape 2 — Déterminer la couverture pour DevOps Guru

• Étape 3 — Identifiez le sujet de vos notifications Amazon SNS

Étape 1 — Inscrivez-vous à AWS

S’inscrire à un Compte AWS

Si vous n’avez pas de compte Compte AWS, procédez comme suit pour en créer un.

Pour s’inscrire à un Compte AWS

1. Ouvrez https://portal.aws.amazon.com/billing/signup.

2. Suivez les instructions en ligne.

   Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

   Lorsque vous souscrivez à un Compte AWS, un Utilisateur racine d'un compte AWS est créé. Par défaut, seul l’utilisateur root a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur administratif, et à uniquement utiliser l’utilisateur root pour effectuer tâches nécessitant un accès utilisateur root.

AWS vous envoie un e-mail de confirmation lorsque le processus d’inscription est terminé. Vous pouvez afficher l’activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en cliquant sur Mon compte.

Création d’un utilisateur administratif

Après vous être inscrit à un Compte AWS, sécurisez votre Utilisateur racine d'un compte AWS, activez AWS IAM Identity Center, puis créez un utilisateur administratif afin de ne pas utiliser l’utilisateur root pour les tâches quotidiennes.

Sécurisation de votre Utilisateur racine d'un compte AWS

1. Connectez-vous à la AWS Management Console en tant que propriétaire du compte en sélectionnant Root user (utilisateur root) et en saisissant l’adresse e-mail de Compte AWS. Sur la page suivante, saisissez votre mot de passe.

   Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur root, consultez Connexion en tant qu’utilisateur root dans le Guide de l’utilisateur Connexion à AWS.

2. Activez l’authentification multifactorielle (MFA) pour votre utilisateur root.

   Pour obtenir des instructions, consultez Activation d’un dispositif MFA virtuel pour l’utilisateur root de votre Compte AWS (console) dans le Guide de l’utilisateur IAM.

Création d’un utilisateur administratif

1. Activez IAM Identity Center.

   Pour obtenir des instructions, consultez Configuration d’AWS IAM Identity Center dans le guide de l’utilisateur AWS IAM Identity Center.

2. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur administratif.

   Pour profiter d’un didacticiel sur l’utilisation du Répertoire IAM Identity Center comme source d’identité, consultez Configuration de l’accès utilisateur avec le répertoire Répertoire IAM Identity Center par défaut dans le Guide de l’utilisateur AWS IAM Identity Center.

Connexion en tant qu’utilisateur administratif

• Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.

  Pour obtenir de l’aide pour vous connecter à l’aide d’un utilisateur IAM Identity Center, consultez Connexion au portail d’accès AWS dans le Guide de l’utilisateur Connexion à AWS.

Étape 2 — Déterminer la couverture pour DevOps Guru

Votre couverture limite détermine les AWS ressources qui sont analysées par Amazon DevOps Guru pour détecter tout comportement anormal. Nous vous recommandons de regrouper vos ressources dans vos applications opérationnelles. Toutes les ressources comprises dans votre limite de ressources doivent comprendre une ou plusieurs de vos applications. Si vous disposez d'une solution opérationnelle, votre limite de couverture doit inclure toutes ses ressources. Si vous avez plusieurs applications, choisissez les ressources qui composent chaque solution et regroupez-les à l'aide de AWS CloudFormation piles ou de AWS balises. Toutes les ressources combinées que vous spécifiez, qu'elles définissent une ou plusieurs applications, sont analysées par DevOps Guru et constituent sa limite de couverture.

Utilisez l'une des méthodes suivantes pour spécifier les ressources de vos solutions opérationnelles.

• Choisissez de laisser votre AWS région et votre compte définir les limites de votre couverture. Avec cette option, DevOps Guru analyse toutes les ressources de votre compte et de votre région. C'est une bonne option à choisir si vous n'utilisez votre compte que pour une seule application.

• Utilisez des AWS CloudFormation piles pour définir les ressources de votre application opérationnelle. AWS CloudFormationles modèles définissent et génèrent vos ressources pour vous. Spécifiez les piles qui créent les ressources de votre application lorsque vous configurez DevOps Guru. Vous pouvez mettre à jour vos stacks à tout moment. Toutes les ressources des piles que vous choisissez définissent la couverture de vos limites. Pour plus d’informations, consultez A l'aide deAWS CloudFormationdes piles pour identifier les ressources de votre DevOpsApplications Guru.

• Utilisez des AWS balises pour spécifier AWS les ressources de vos applications. DevOpsGuru analyse uniquement les ressources qui contiennent les balises que vous avez choisies. Ces ressources constituent votre limite.

  Une AWS balise se compose d'une clé de balise et d'une valeur de balise. Vous pouvez spécifier une clé de balise et vous pouvez spécifier une ou plusieurs valeurs avec cette clé. Utilisez une valeur unique pour toutes les ressources de l'une de vos applications. Si vous avez plusieurs applications, utilisez une balise avec la même clé pour toutes et regroupez les ressources dans vos applications à l'aide des valeurs des balises. Toutes les ressources associées aux balises que vous avez choisies constituent la limite de couverture de DevOps Guru. Pour plus d’informations, consultez Utilisation de balises pour identifier les ressources dans vos applications DevOps Guru.

Si votre couverture limite inclut des ressources qui constituent plusieurs applications, vous pouvez utiliser des balises pour filtrer vos informations afin de les afficher par application à la fois. Pour plus d'informations, reportez-vous à l'étape 4 dansAffichageDevOpsInformations sur le gourou.

Pour plus d’informations, consultez Définition des applications en utilisantAWSressources. Pour plus d'informations sur les services et ressources pris en charge, consultez les tarifs Amazon DevOps Guru.

Étape 3 — Identifiez le sujet de vos notifications Amazon SNS

Vous utilisez une ou deux rubriques Amazon SNS pour générer des notifications concernant les événements importants du DevOps Guru, tels que la création d'un aperçu. Cela vous permet de connaître les problèmes découverts par DevOps Guru le plus rapidement possible. Préparez vos sujets lorsque vous configurez DevOps Guru. Lorsque vous utilisez la console DevOps Guru pour configurer DevOps Guru, vous spécifiez un sujet de notification en utilisant son nom ou son Amazon Resource Name (ARN). Pour plus d'informations, consultez Enable DevOps Guru. Vous pouvez utiliser la console Amazon SNS pour afficher le nom et l'ARN de chacun de vos sujets. Si vous n'avez pas de sujet, vous pouvez en créer un lorsque vous activez DevOps Guru à l'aide de la console DevOps Guru. Pour plus d'informations, consultez la section Création d'une rubrique dans le manuel Amazon Simple Notification Service Developer Guide.

Autorisations ajoutées à votre rubrique Amazon SNS

Une rubrique Amazon SNS est une ressource qui contient une politique de ressources AWS Identity and Access Management (IAM). Lorsque vous spécifiez un sujet ici, DevOps Guru ajoute les autorisations suivantes à sa politique de ressources.

{
    "Sid": "DevOpsGuru-added-SNS-topic-permissions",
    "Effect": "Allow",
    "Principal": {
        "Service": "region-id.devops-guru.amazonaws.com"
    },
    "Action": "sns:Publish",
    "Resource": "arn:aws:sns:region-id:topic-owner-account-id:my-topic-name",
    "Condition" : {
      "StringEquals" : {
        "AWS:SourceArn": "arn:aws:devops-guru:region-id:topic-owner-account-id:channel/devops-guru-channel-id",
        "AWS:SourceAccount": "topic-owner-account-id"
    }
  }
}

Ces autorisations sont requises pour que DevOps Guru puisse publier des notifications en utilisant un sujet. Si vous préférez ne pas avoir ces autorisations sur le sujet, vous pouvez les supprimer en toute sécurité et le sujet continuera de fonctionner tel qu'il était avant que vous ne le choisissiez. Toutefois, si ces autorisations ajoutées sont supprimées, DevOps Guru ne peut pas utiliser le sujet pour générer des notifications.